Niveau 2 d’assurance de l’authentificateur NIST avec Microsoft Entra ID
L’institut NIST (National Institute of Standards and Technology) développe les exigences techniques pour les agences fédérales américaines qui implémentent des solutions d’identité. Les organisations travaillant avec les agences fédérales doivent répondre à ces exigences.
Avant de commencer l’authentification d’assurance de niveau 2 (AAL2), vous pouvez consulter les ressources suivantes :
- Vue d’ensemble de NIST : comprendre les niveaux AAL
- Principes fondamentaux de l’authentification : terminologie et types d’authentification
- Types d’authentificateurs NIST : types d’authentification
- NIST AAL : composants AAL et méthodes d’authentification Microsoft Entra
Types d’authentificateurs AAL2 autorisés
Le tableau suivant détaille les types d’authentificateurs autorisés pour le niveau AAL2 :
| Méthode d’authentification Microsoft Entra | Type d’authentificateur NIST |
|---|---|
| Méthodes recommandées | |
| Certificat logiciel multifacteur (protégé par PIN) Windows Hello Entreprise avec le module TPM (Trusted Platform Module) logiciel |
Logiciel de chiffrement multifacteur |
| Certificat matériel protégé (carte à puce/clé de sécurité/TPM) Clés de sécurité FIDO 2 Windows Hello Entreprise avec module TPM matériel |
Matériel de chiffrement multifacteur |
| Application Microsoft Authenticator (sans mot de passe) | Multifacteur hors bande |
| Autres méthodes | |
| Mot de passe ET - Application Microsoft Authenticator (notification Push) - OU - Microsoft Authenticator Lite (notification Push) - OU - Téléphone (SMS) |
Secret mémorisé ET Facteur unique hors bande |
| Mot de passe ET - Jetons matériels OATH (préversion) - OU - Application Microsoft Authenticator (OTP) - OU - Microsoft Authenticator Lite (OTP) - OU - Jetons logiciels OATH |
Secret mémorisé ET OTP à facteur unique |
| Mot de passe ET - Certificat logiciel à facteur unique - OU - Microsoft Entra associé au TPM logiciel - OU - Microsoft Entra hybride associé au TPM logiciel - OU - Appareil mobile conforme |
Secret mémorisé ET Logiciel de chiffrement à facteur unique |
| Mot de passe ET - Microsoft Entra associé au TPM matériel - OU - Microsoft Entra hybride associé au TPM matériel |
Secret mémorisé ET Matériel de chiffrement à facteur unique |
Remarque
Aujourd’hui, Microsoft Authenticator en soi n’est pas résistant au hameçonnage. Pour bénéficier d’une protection contre les menaces de hameçonnage externe lors de l’utilisation de Microsoft Authenticator, vous devez également configurer une stratégie d’accès conditionnel nécessitant un appareil géré.
Suggestions AAL2
Pour le niveau AAL2, utilisez des authentificateurs matériels ou logiciels de chiffrement multifacteur. L’authentification sans mot de passe élimine la plus grande surface d’attaque (à savoir le mot de passe) et offre aux utilisateurs une méthode d’authentification simplifiée.
Pour obtenir des instructions sur la sélection d’une méthode d’authentification sans mot de passe, consultez Planifier un déploiement d’authentification sans mot de passe dans Microsoft Entra ID. Consultez aussi Guide de déploiement de Windows Hello Entreprise
Validation FIPS 140
Utilisez les sections suivantes pour en savoir plus sur la validation FIPS 140.
Exigences liées au vérificateur
Microsoft Entra ID utilise le module de chiffrement validé global FIPS 140 Windows de niveau 1 pour des opérations de chiffrement liées à l’authentification. Il s’agit donc d’un vérificateur conforme à la norme FIPS 140, comme l’exigent les agences gouvernementales.
Exigences liées à l’authentificateur
Les authentificateurs de chiffrement des agences gouvernementales sont validés pour FIPS 140, niveau 1 global. Cette exigence n’est pas requise pour les autres types d’organisations. Les authentificateurs Microsoft Entra suivants répondent aux exigences lorsqu’ils sont exécutés sur Windows en mode de fonctionnement approuvé FIPS 140 :
Mot de passe
Microsoft Entra associé au module TPM logiciel ou matériel
Microsoft Entra hybride associé au module TPM logiciel ou matériel
Windows Hello Entreprise avec module TPM logiciel ou matériel
Certificat stocké dans un logiciel ou un matériel (carte à puce/clé de sécurité/TPM)
L’application Microsoft Authenticator sur iOS et Android est conforme à FIPS 140. Pour plus d’informations sur les modules de chiffrement validés FIPS utilisés par Microsoft Authenticator, consultez Application Microsoft Authenticator
Pour les jetons matériels OATH et les cartes à puce, nous vous recommandons de consulter votre fournisseur pour connaître les états de validation FIPS actuels.
Les fournisseurs de clés de sécurité FIDO 2 sont à différentes étapes de la certification FIPS. Nous vous recommandons de consulter la liste des fournisseurs de clés FIDO 2 pris en charge. Consultez votre fournisseur pour connaître l’état de validation FIPS actuel.
Réauthentification
Pour AAL2, NIST requiert une réauthentification toutes les 12 heures, quelle que soit l’activité de l’utilisateur. La réauthentification est également requise après une période d’inactivité de 30 minutes ou plus. Étant donné que le secret de session est quelque chose que vous possédez, il est nécessaire de présenter quelque chose que vous connaissez ou que vous êtes.
Pour répondre à la configuration requise à des fins de réauthentification, quelle que soit l’activité de l’utilisateur, Microsoft recommande de configurer la fréquence de connexion de l’utilisateur sur 12 heures.
Utilisez le NIST pour compenser les contrôles afin de confirmer la présence de l’abonné :
Définir un délai d’inactivité de session de 30 minutes : verrouillez l’appareil au niveau du système d’exploitation à l’aide de Microsoft System Center Configuration Manager, d’objets de stratégie de groupe (GPO) ou d’Intune. Pour que l’abonné le déverrouille, exigez une authentification locale.
Expiration du délai d’attente, quelle que soit l’activité : exécutez une tâche planifiée (Configuration Manager, objet de stratégie de groupe ou Intune) pour verrouiller la machine après 12 heures, quelle que soit l’activité.
Résistance aux attaques de l’intercepteur
Les communications entre le demandeur et Microsoft Entra ID se font sur un canal protégé authentifié. Cette configuration fournit une résistance aux attaques de l’intercepteur (MitM) et répond aux exigences de résistance MitM pour AAL1, AAL2 et AAL3.
Résistance à la relecture
Toutes les méthodes d’authentification Microsoft Entra du niveau AAL2 utilisent des nonces ou des défis. Les méthodes offrent une bonne résistance aux attaques par relecture, car le vérificateur détecte facilement les transactions d’authentification relues. En effet, ces transactions ne contiennent pas le nonce ni les données d’actualité nécessaires.
Étapes suivantes
En savoir plus sur les niveaux AAL
Principes fondamentaux de l’authentification
Types d’authentificateurs NIST
Atteindre NIST AAL1 avec Microsoft Entra ID